Onderzoekers konden code uitvoeren in VembuBDR-back-upsoftware door lek

Beveiligingsonderzoekers van het Dutch Institute for Vulnerability Disclosure hebben drie ernstige kwetsbaarheden gevonden in back-upsoftwarepakket Vembu. Het gaat om remote code executions waarbij een systeem potentieel op afstand kon worden overgenomen.

De kwetsbaarheden zitten volgens de onderzoekers in VembuBDR en VembuOffsiteDR. De lekken zitten in versies 3.7.0 en 3.9.1 van de software en zijn gerepareerd in versie 4.2.0.2. VembuBDR is software voor het maken van back-ups die vooral in enterpriseomgevingen wordt gebruikt. In het pakket zouden drie kwetsbaarheden zitten die het mogelijk maken om op afstand code uit te kunnen voeren zonder dat daarbij authenticatie nodig is.

Het eerste lek is CVE-2021-26471. Daarmee kan een aanvaller commando's uitvoeren via de HTTP-api van de software. In diezelfde api zit ook een andere kwetsbaarheid, CVE-2021-26473, die het mogelijk maakt bestanden op het systeem van een client te installeren. Die kunnen dan vervolgens op afstand worden geopend via een webserver. Het laatste lek, CVE-2021-26471, zit alleen in de Windows-client. Ook daar laat de api het toe een commando uit te voeren, wat ook kan met adminrechten. De kwetsbaarheden zijn ernstig; de CVE-classificaties krijgen een score van 9,8.

De onderzoekers vonden de kwetsbaarheden al lang geleden. In november 2020 en februari 2021 lichtten ze Vembu daarover in. De onderzoekers zeggen bij een scan in maart van dit jaar nog zeker duizend kwetsbare systemen met Vembu BDR op internet te hebben gevonden. Sindsdien heeft Vembu de kwetsbaarheden gevonden. De onderzoekers zeggen hun bevindingen nu te publiceren omdat er inmiddels amper meer kwetsbare systemen online zijn.

Door Tijs Hofmans

Nieuwscoördinator

25-08-2021 • 14:40

9

Submitter: x86dev

Reacties (9)

9
9
6
0
0
2
Wijzig sortering
wie heeft dan ook zijn backup software aan het publieke internet geknoopt?
Ten eerste moet deze vanwege support altijd de nieuwste updates kunnen downloaden en installeren.
En daarnaast moet deze natuurlijk andere systemen backuppen die mogelijk met het internet verbonden zijn. Dus zitten de meeste backupsystemen direct of indirect verbonden met het internet. En met de vele softwarelekken die gevonden worden, kan je soms gewoon via via naar de backupsoftware toe vanaf het internet.
(Als jij thuis een backup maakt van jouw pc, dan is deze toch ook gekoppeld aan het netwerk/internet?)
Er is een groot verschil tussen een applicatie/appliance die verbinding kan maken met het internet om zelf informatie, zoals updates. te downloaden en een applicatie/appliance die rechtstreeks vanaf het internet te benaderen is.

Wil je andere systemen gaan backuppen dan doe je dat bij voorkeur over een VPN verbinding zodat alle data veilig is en je eigen software helemaal niet benaderbaar moet zijn vanaf het internet. Dan zit er een extra beveiligingslaag tussen.

Ik kan me niet zoveel situaties voorstellen waarbij ik mijn backup software rechtstreeks via internet benaderbaar wens te maken.
In principe maakt een VPN een verbinding niet veiliger. Nu zal een VPN access point doorgaans een stuk veiliger zijn dan van deze backup software. Maar eigenlijk verplaats je alleen de ingang. Als ze zo'n lek in je VPN vinden ga je ook onderuit.
Security is als een ui. Een VPN kan hier wel degelijk een extra laag beveiliging zijn.
Ik verwacht niet veel, maar wel aan het bedrijfsnetwerk. Mocht je dus in een geïnfecteerde machine zitten die bij deze backup software komt, kan je op die manier je infectie verspreiden.

Gezien de backup server waarschijnlijk bij de VM hosts of andere belangrijke machines kan komen is het vanaf dat moment vaak vrij makkelijk om in een compleet netwerk in te dringen met alle gevolgen van dien.
Ik ken een multinational met het hoofdkantoor in Nederland en zijn IT beheer (deels) in India. De tijd dat een grote onderneming zijn IT alleen maar door lokale mensen in het datacenter laat verzorgen ligt al enige tijd achter ons.

(Edit: ik zeg niet dat e.e.a. zonder afdoende veiligheid aan te raden is).

[Reactie gewijzigd door Het.Draakje op 23 juli 2024 05:47]

En de backups gebeuren in de datacentra en alles verbind met elkaar over VPNs.

De tijd dat je alles zomaar vrij over internet laat communiceren ligt gelukkig ook al enige tijd achter ons.
Ik zeg ook nergens dat het zonder beveiliging gebeurd. Maar remote execution van (backup) software is wel heel normaal. Ook via het internet. En ja, dat gebeurd dan wel via VPN's enz. maar 100% garantie heb je zeker niet.

Op dit item kan niet meer gereageerd worden.